Verbeteren van de informatiebeveiliging voor gemeenten

“Op basis van de bevindingen hebben we de gemeente heel concrete adviezen kunnen geven voor het verbeteren van de informatiebeveiliging”

Alle Nederlandse gemeenten hebben toegezegd om (vanaf het begin van 2017) te voldoen aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De BIG is een zelfreguleringsinstrument en bestaat uit een set van beveiligingsmaatregelen, inclusief fysieke beveiliging, waarmee gemeenten een basis-beveiligingsniveau kunnen halen. Een Nederlandse gemeente met bijna 70.000 inwoners wilde advies voor het verbeteren van de informatiebeveiliging. Daarnaast hebben veel Nederlandse gemeenten te maken gehad met een datalek; iets wat de gemeente absoluut wilde voorkomen.

De gemeente besloot een gespecialiseerde partij om hulp te vragen bij het bepalen van het informatiebeveiligingsniveau. Op basis van de bevindingen van deze gespecialiseerde partij wilde de gemeente maatregelen nemen om op het vereiste niveau te komen en dit niveau vast te houden.

De gemeente schreef meerdere partijen aan. Na een uitgebreid selectieproces werd Sincerus vanwege haar uitgebreide aantoonbare ervaring binnen het informatiebeveiligingsdomein en de transparantie en volledigheid van het actieplan dat Sincerus presenteerde als leverancier/partner gekozen.

Interne en externe penetratietest

Sincerus consultant Gerben Visser was als ethical hacker/ pentester betrokken bij dit project. Visser: “Om gefundeerde uitspraken te kunnen doen over het informatiebeveiligingsniveau van de gemeente hebben we – in nauw overleg met de gemeente – drie acties uitgevoerd. Allereerst hebben we een interne en externe penetratietest uitgevoerd. Vervolgens hebben we door een mystery guest bezoek lekken in de fysieke beveiliging blootgelegd en inzicht geboden in de houding en het gedrag van medewerkers bij “visite” van ongenode gasten. En daarnaast is een phishing-actie uitgevoerd. Door deze verschillende acties in een korte periode uit te voeren konden we de kwetsbaarheden in de organisatie goed weergeven en konden we bovendien inzichtelijk maken hoe deze kwetsbaarheden in elkaar overlopen en elkaar beïnvloeden.”

Raadplegen van externe bronnen

Sincerus gaat hierbij zeer gestructureerd te werk. Visser: “We beginnen een dergelijk traject altijd met het vergaren van informatie. Voorafgaand aan de externe penetratietest raadplegen we publieke bronnen. We zoeken op LinkedIn en Google en bekijken vacatures om informatie te achterhalen over de infrastructuur van de klant en de IT-systemen die bij de organisatie in gebruik zijn. Ook doorzoeken we documenten die online staan op metadata; vaak kan hier gebruikersdata uit gefilterd worden. Vervolgens ordenen we alle verkregen informatie en identificeren we informatie die ons kan helpen de organisatie binnen te dringen. We kijken welke versies van services en applicaties gebruikt worden en gaan na welke bekende kwetsbaarheden we zouden kunnen gebruiken. Tenslotte gaan we in de applicaties zelf kijken of we kwetsbaarheden kunnen identificeren. We bootsen op die manier de werkwijze na van een kwaadwillende die het interne netwerk wil binnendringen.”

Ook voerde Sincerus een interne penetratietest uit. Visser: “Bij een interne test wordt bijvoorbeeld gekeken of het mogelijk is om toegang tot een primair informatiesysteem te krijgen. Dit wordt vanuit een door de klant bepaalde locatie uitgevoerd bijv. een algemene netwerkaansluiting. De onderzoeksvraag die dan beantwoord dient te worden, is bijvoorbeeld: “Kun je op het interne netwerk komen via het publieke wifi? En als het lukt om toegang te krijgen tot het netwerk dat door de medewerkers gebruikt wordt, welke informatie is dan toegankelijk?”

Mystery guest

Om een zo volledig mogelijk beeld te krijgen van het niveau van de informatiebeveiliging van de organisatie voerde Sincerus ook een mystery guest-bezoek uit. Ook hiervoor werden eerst publieke bronnen geraadpleegd. Visser: “We vonden online informatie over een aanbesteding die gewonnen was door een schoonmaakbedrijf. Om het niveau van het schoonmaakwerk te kunnen verifiëren, voert het schoonmaakbedrijf regelmatig controles uit.

Door ons voor te doen als controleurs van het desbetreffende schoonmaakbedrijf, kregen we direct een tag uitgereikt bij de receptie. Met deze tag van de gemeente hadden we toegang tot bijna het hele gebouw. Met een videocamera in een laptoptas en onze mobiele telefoons hebben we foto’s gemaakt van mogelijk vertrouwelijke informatie. Ook konden we de gemeente inzicht geven in beveiligingsrisico’s door toegang te realiseren tot archieven, het kunnen benaderen van individuele PC’s die niet gelocked waren en het interne netwerk door simpelweg een ethernet- kabel in een eigen laptop te prikken.”

Phishing-emails

Steeds meer malware en ransomware aanvallen vinden plaats middels phishing-aanvallen. De mate van succes van dergelijke aanvallen is afhankelijk van de “weerbaarheid” van medewerkers. Daarom is het van belang om regelmatig te testen hoe zij reageren op phishing-emails. Een dergelijke actie werd ook bij de gemeente uitgevoerd. Visser: “Van de gemeente ontvingen we een lijst met e-mailadressen. Naar deze adressen hebben we een e-mail gestuurd met een link naar een portal. Deze zag eruit als een website die door medewerkers van de gemeente veel gebruikt wordt. Zij kregen het verzoek om op deze site hun gebruikersnaam en wachtwoord in te vullen. Uiteraard kregen wij geen inzicht in deze informatie, maar we konden wel de lengtes van de verschillende wachtwoorden zien. Op die manier konden we inzichtelijk maken hoeveel mensen op de link hadden geklikt en hun gegevens hadden achtergelaten.”

Door het uitvoeren van deze verschillende acties kon Sincerus de gemeente een uitgebreid beeld geven van de kwetsbaarheden binnen de organisatie. Visser: “Op basis van de bevindingen hebben we de gemeente heel concrete adviezen kunnen geven voor het verbeteren van de informatiebeveiliging. Met daarbij de suggestie om op regelmatige basis een her-test te laten uitvoeren,. Het doel hiervan is om de organisatie aantoonbaar veiliger te maken en de security naar een hoger niveau te tillen.”